Verschleiernde Transformationen von Programmen

Abstract

Bösartige Programme, sogenannte Malware, stellen in der heutigen Zeit ein großes Problem dar. Die umfassende Vernetzung von Computern erlaubt es Malware, sich auf einfache Weise an eine Vielzahl potentieller Opfer zu verbreiten. Anti-Virus-Software ist deshalb für viele Computer eine Grundvoraussetzung zum sicheren Betrieb. Der Einsatz von Anti-Virus-Software zwingt Malware-Autoren dazu, Strategien zu entwickeln, wie sich ihre Programme vor Anti-Virus-Software verbergen können, um sich weiterhin zu verbreiten. Auf der anderen Seite sind die Hersteller von Anti-Virus-Software gezwungen, Mittel gegen diese Strategien zu finden, um Malware weiterhin erkennen zu können. Dies führt zu einer Situation, die bildhaft als Wettrüsten bezeichnet wird, in der beide Seiten versuchen, durch immer ausgefeiltere Strategien die Bemühungen der jeweils anderen Seite zunichte zu machen. In diesem Kontext wurden verschleiernde Transformationen von Programmen im Rahmen einer Diplomarbeit untersucht. Solche Transformationen werden von Malware-Autoren eingesetzt, um die Erkennung ihrer Programme zu verhindern oder zumindest zu erschweren [1, 2]. Es werden die Komprimierung, Verschlüsselung, metamorphe Codeumformung und Virtualisierung von Programmen betrachtet sowie hinsichtlich ihres Einflusses auf die Merkmale Erscheinungsbild, Kontrollflussgraph, Verhalten und Funktionalität eines Programms kategorisiert. Im Rahmen eines Experiments, in dem der Einfluss der Transformationen auf die Fähigkeit von Anti-Virus-Software, Malware zu erkennen, untersucht wurde, wurden mit Hilfe einer Experimentierumgebung mit fünf Packern weitgehend automatisiert Varianten von Malware-Samples erzeugt, welche die vorgestellten Transformationen abdecken. Mit Hilfe dieser transformierten Samples wurde dann die Erkennungsleistung von Anti-Virus-Software untersucht. Dieses Experiment zeigte, dass bereits einfache Transformationen wie die Komprimierung sich negativ auf die Erkennungsleistung von Anti-Virus-Software auswirken. Allerdings zeigte sich auch, dass das Laufzeitverhalten von Malware, auf der Ebene der Systemaufrufe betrachtet, gegen die Transformationen der im Experiment eingesetzten Programme resistent ist.